Hur man utvärderar effektiviteten av en NGFW-installation
Den vanligaste uppgiften är att kontrollera hur effektivt din brandvägg är konfigurerad. För att göra detta finns det gratis verktyg och tjänster från företag som arbetar med NGFW.
Till exempel kan du se nedan att Palo Alto Networks har möjlighet att direkt från köra en analys av brandväggsstatistik - SLR-rapport eller analys av efterlevnad av bästa praxis - BPA-rapport. Dessa är gratis onlineverktyg som du kan använda utan att installera något.
INNEHÅLL
Expedition (migreringsverktyg)
Ett mer komplicerat alternativ för att kontrollera dina inställningar är att ladda ner ett gratisverktyg (tidigare Migration Tool). Den laddas ner som en Virtual Appliance för VMware, inga inställningar krävs med den - du måste ladda ner bilden och distribuera den under VMware-hypervisorn, starta den och gå till webbgränssnittet. Det här verktyget kräver en separat historia, bara kursen på det tar 5 dagar, det finns så många funktioner nu, inklusive maskininlärning och migrering av olika konfigurationer av policyer, NAT och objekt för olika brandväggstillverkare. Jag kommer att skriva mer om Machine Learning nedan i texten.
Policy Optimizer
Och det bekvämaste alternativet (IMHO), som jag kommer att berätta mer om idag, är policyoptimeraren inbyggd i själva Palo Alto Networks-gränssnittet. För att demonstrera det installerade jag en brandvägg hemma och skrev en enkel regel: tillåt vilken som helst. I princip ser jag ibland sådana regler även i företagsnätverk. Naturligtvis aktiverade jag alla NGFW-säkerhetsprofiler, som du kan se på skärmdumpen:
Skärmdumpen nedan visar ett exempel på min okonfigurerade brandvägg i hemmet, där nästan alla anslutningar faller inom den sista regeln: AllowAll, vilket framgår av statistiken i kolumnen Hit Count.
Nollförtroende
Det finns ett förhållningssätt till säkerhet som kallas . Vad detta betyder: vi måste tillåta människor inom nätverket exakt de anslutningar som de behöver och förneka allt annat. Det vill säga att vi måste lägga till tydliga regler för applikationer, användare, URL-kategorier, filtyper; aktivera alla IPS- och antivirussignaturer, aktivera sandboxning, DNS-skydd, använd IoC från de tillgängliga Threat Intelligence-databaserna. I allmänhet finns det ett anständigt antal uppgifter när du konfigurerar en brandvägg.
Förresten, den minsta uppsättningen nödvändiga inställningar för Palo Alto Networks NGFW beskrivs i ett av SANS-dokumenten: – Jag rekommenderar att börja med det. Och naturligtvis finns det en uppsättning bästa praxis för att installera en brandvägg från tillverkaren: .
Så jag hade en brandvägg hemma i en vecka. Låt oss se vilken typ av trafik det finns på mitt nätverk:
Om du sorterar efter antal sessioner så skapas de flesta av bittorent, sedan kommer SSL, sedan QUIC. Det här är statistik för både inkommande och utgående trafik: det finns många externa skanningar av min router. Det finns 150 olika applikationer i mitt nätverk.
Så allt detta missades av en regel. Låt oss nu se vad Policy Optimizer säger om detta. Om du tittade ovan på skärmdumpen av gränssnittet med säkerhetsregler, så såg du längst ner till vänster ett litet fönster som tipsar mig om att det finns regler som kan optimeras. Låt oss klicka där.
Vad Policy Optimizer visar:
- Vilka policyer som inte användes alls, 30 dagar, 90 dagar. Detta hjälper till att fatta beslutet att ta bort dem helt.
- Vilka applikationer specificerades i policyerna, men inga sådana applikationer upptäcktes i trafiken. Detta gör att du kan ta bort onödiga applikationer när du tillåter regler.
- Vilka policyer som tillät allt, men det fanns faktiskt applikationer som hade varit trevligt att uttryckligen ange enligt Zero Trust-metoden.
Klicka på Oanvänd.
För att visa hur det fungerar lade jag till några regler och än så länge har de inte missat ett enda paket idag. Här är deras lista:
Kanske blir det trafik dit med tiden och då försvinner de från den här listan. Och om de finns på den här listan i 90 dagar, kan du bestämma dig för att ta bort dessa regler. När allt kommer omkring ger varje regel en möjlighet för en hackare.
Det finns ett verkligt problem när man konfigurerar en brandvägg: en ny anställd kommer, tittar på brandväggsreglerna, om de inte har några kommentarer och han vet inte varför denna regel skapades, om den verkligen behövs, om den kan raderas: plötsligt är personen på semester och efter Inom 30 dagar kommer trafiken återigen att flyta från den tjänst han behöver. Och just den här funktionen hjälper honom att fatta ett beslut - ingen använder det - radera det!
Klicka på Oanvänd app.
Vi klickar på Unused App i optimeraren och ser att intressant information öppnas i huvudfönstret.
Vi ser att det finns tre regler, där antalet tillåtna ansökningar och antalet ansökningar som faktiskt klarade denna regel är olika.
Vi kan klicka och se en lista över dessa applikationer och jämföra dessa listor.
Klicka till exempel på knappen Jämför för Max-regeln.
Här kan du se att applikationerna facebook, instagram, telegram, vkontakte var tillåtna. Men i verkligheten gick trafiken bara till några av underapplikationerna. Här måste du förstå att facebookapplikationen innehåller flera delapplikationer.
Hela listan över NGFW-applikationer kan ses på portalen och i själva brandväggsgränssnittet, i avsnittet Objekt->Program och i sökningen, skriv applikationsnamnet: facebook, du får följande resultat:
Så, några av dessa delapplikationer sågs av NGFW, men vissa inte. Faktum är att du separat kan förbjuda och tillåta olika underfunktioner av Facebook. Tillåt till exempel visning av meddelanden, men förbjud chatt eller filöverföring. Följaktligen talar Policy Optimizer om detta och du kan fatta ett beslut: tillåt inte alla Facebook-applikationer, utan bara de viktigaste.
Så vi insåg att listorna är olika. Du kan se till att reglerna endast tillåter de applikationer som faktiskt färdas på nätverket. För att göra detta klickar du på knappen MatchAnvändning. Det blir så här:
Och du kan också lägga till program som du anser vara nödvändiga - knappen Lägg till på vänster sida av fönstret:
Och sedan kan denna regel tillämpas och testas. Grattis!
Klicka på Inga appar angivna.
I det här fallet öppnas ett viktigt säkerhetsfönster.
Det finns troligen många sådana regler i ditt nätverk där L7-nivåapplikationen inte är explicit specificerad. Och i mitt nätverk finns det en sådan regel - låt mig påminna dig om att jag gjorde den under den första installationen, specifikt för att visa hur Policy Optimizer fungerar.
Bilden visar att AllowAll-regeln tillät 9 gigabyte trafik under perioden 17 mars till 220 mars, vilket är 150 olika applikationer i mitt nätverk. Och det räcker inte. Vanligtvis har ett företagsnätverk av medelstor storlek 200-300 olika applikationer.
Så, en regel släpper igenom så många som 150 ansökningar. Vanligtvis innebär detta att brandväggen inte är korrekt konfigurerad, eftersom vanligtvis en regel tillåter 1-10 applikationer för olika ändamål. Låt oss se vad dessa applikationer är: klicka på knappen Jämför:
Det mest underbara för en administratör i Policy Optimizer-funktionen är knappen Matcha användning - du kan skapa en regel med ett klick, där du kommer att lägga in alla 150 applikationer i regeln. Att göra detta manuellt skulle ta ganska lång tid. Antalet uppgifter för en administratör att arbeta med, även i mitt nätverk med 10 enheter, är enormt.
Jag har 150 olika applikationer som körs hemma och överför gigabyte trafik! Och hur mycket har du?
Men vad händer i ett nätverk med 100 enheter eller 1000 eller 10000? Jag har sett brandväggar med 8000 XNUMX regler och jag är väldigt glad över att administratörer nu har så bekväma automationsverktyg.
Några av applikationerna som L7 applikationsanalysmodulen i NGFW såg och visade behöver du inte på nätverket, så du tar helt enkelt bort dem från listan över tillåtna regler, eller klonar reglerna med knappen Clone (i huvudgränssnittet) och tillåt dem i en applikationsregel, och i Du kommer att blockera andra applikationer eftersom de definitivt inte behövs i ditt nätverk. Sådana applikationer inkluderar ofta bittorent, steam, ultrasurf, tor, dolda tunnlar som tcp-over-dns och andra.
Nåväl, låt oss klicka på en annan regel och se vad du kan se där:
Ja, det finns applikationer som är typiska för multicast. Vi måste tillåta dem att titta på video online att fungera. Klicka på Matcha användning. Bra! Tack Policy Optimizer.
Hur är det med maskininlärning?
Nu är det på modet att prata om automatisering. Det jag beskrev kom fram - det hjälper mycket. Det finns en möjlighet till som jag borde prata om. Detta är maskininlärningsfunktionen inbyggd i verktyget Expedition, som redan nämndes ovan. I det här verktyget är det möjligt att överföra regler från din gamla brandvägg från en annan tillverkare. Det finns också möjlighet att analysera befintliga Palo Alto Networks trafikloggar och föreslå vilka regler som ska skrivas. Detta liknar funktionen hos Policy Optimizer, men i Expedition är den ännu mer utökad och du erbjuds en lista med färdiga regler - du behöver bara godkänna dem.
För att testa denna funktionalitet finns ett laboratoriearbete - vi kallar det en provkörning. Detta test kan göras genom att logga in på virtuella brandväggar, som Palo Alto Networks kontorsanställda i Moskva kommer att lansera på din begäran.
Förfrågan kan skickas till [e-postskyddad] och skriv i begäran: "Jag vill göra en UTD för migrationsprocessen."
Faktum är att laboratoriearbete som kallas Unified Test Drive (UTD) har flera alternativ och alla efter begäran.
Endast registrerade användare kan delta i undersökningen. , Snälla du.
Vill du att någon hjälper dig att optimera dina brandväggspolicyer?
-
Ja
-
Ingen
-
Jag ska göra allt själv
Ingen har röstat än. Det finns inga nedlagda röster.
Källa: will.com